移動安全攻防進階——Android與iOS逆向理論與案例實戰

《移動安全攻防進階——Android與iOS逆向理論與案例實戰》從Android虛擬機的技術原理開始，著重解析了Java層Dalvik虛擬機和ART虛擬機的Android系統中的運行機制，從而引出Native層的Native開發和ARM彙編語言等更底層的技術棧。在攻防全局觀上主要介紹ATT&CK框架的技戰術，將攻防過程中的技術點映射到矩陣中，ATT&CK框架中的移動安全攻防框架可以作為移動安全攻防的全局指導。通過對移動套用第一代加固殼到第三代加固殼的技術原理的剖析及技術實現的講解，可以看到攻防對抗逐漸走向底層的原生層，通過學習基於OLLVM 的加固殼開發以及VMP加固殼的代碼實現，全面掌握主流套用加固的技術方案。通過對真實世界實網攻防中遭遇的惡意程式、APT攻擊樣本等進行逆向分析，詳細介紹其中的技術原理和代碼實現，以幫助讀者從一線攻防案例中獲取攻防對抗經驗。

目錄

基礎篇

第1章Android虛擬機

1.1Dalvik虛擬機

1.1.1DVM的特點

1.1.2DVM虛擬機啟動流程

1.1.3DVM虛擬機運行過程

1.2odex檔案

1.3ART虛擬機

1.3.1ART虛擬機的創建

1.3.2ART虛擬機的啟動

1.4dex2oat

1.4.1概述

1.4.2Oat檔案格式介紹

1.4.3ART檔案介紹

1.4.4Oat與ART檔案關係

1.5ART虛擬機類的連結與初始化

1.6本章小結

第2章Native層

2.1Native開發

2.1.1JNI介紹

2.1.2JNI數據類型轉換

2.1.3Native調用Java代碼

2.2ARM彙編

2.2.1ARM彙編介紹

2.2.2ARM彙編數據類型

2.2.3ARM暫存器

2.2.4ARM模式與Thumb模式

2.2.5ARM指令

2.3Native Hook

2.3.1Got/Plt Hook

2.3.2inline Hook

2.4本章小結

第3章iOS基礎知識

3.1iOS包結構分析

3.1.1_CodeSignature資料夾

3.1.2lproj資料夾

3.1.3xcent檔案

3.1.4mobileprovision檔案

3.1.5info.plist檔案

3.2iOS套用啟動過程分析

3.3本章小結

理論篇

第4章ATT&CK框架

4.1ATT&CK框架背景介紹

4.2ATT＆CK框架的使用

4.3本章小結

第5章ATT&CK for mobile框架

5.1初始訪問技術

5.2執行戰術

5.3持久化戰術

5.4許可權提升戰術

5.5防禦規避

5.6憑證訪問戰術

5.7發現戰術

5.8橫向移動戰術

5.9收集戰術

5.10命令控制戰術

5.11滲濾技術

5.12衝擊戰術

5.13本章小結

第6章LLVM編譯框架

6.1LLVM概論

6.1.1LLVM介紹

6.1.2LLVM功能

6.1.3LLVM的主要子項目

6.1.4LLVM周邊項目

6.1.5LLVM目錄結構

6.2LLVM安裝與編譯

6.2.1LLVM的下載與安裝

6.2.2LLVM的編譯

6.2.3LLVM的使用

6.2.4編寫LLVM Pass

6.3IR入門

6.4本章小結

實戰篇

第7章整體加固實戰

7.1第一代加固技術簡介

7.1.1早期靜態殼

7.1.2後期動態載入殼

7.2APK包的結構

7.2.1APK打包過程

7.2.2軟體安裝過程

7.2.3軟體啟動流程

7.2.4AndroidManifest.xml

7.2.5resource.arsc

7.3原理介紹

7.4加固流程

7.5代碼實現

7.6本章小結

第8章指令抽取加固實戰

8.1第二代加固技術簡介

8.2Dex檔案結構

8.3指令抽取恢復介紹

8.4加固流程

8.5代碼實現

8.6本章小結

第9章so檔案加固

9.1第三代加固技術

9.1.1Dex2C

9.1.2VMP

9.2upx

9.3so檔案格式

9.3.132位Elf檔案解析

9.3.264位Elf檔案解析

9.4upx的編譯

9.5本章小結

第10章基於OLLVM的加固殼開發

10.1OLLVM基礎

10.2OLLVM編譯與使用

10.3OLLVM殼原理

10.3.1指令替換混淆源碼分析

10.3.2控制流平展混淆源碼分析

10.3.3偽造控制流混淆源碼分析

10.4本章小結

第11章VMP加固技術

11.1VMP加固原理

11.2Dex VMP

11.2.1Dex VMP介紹

11.2.2Dvm虛擬機的解釋流程

11.2.3Advmp功能與源碼解析

11.3ARM VMP

11.3.1ARM VMP介紹

11.3.2編寫ARM VMP解釋器

11.3.3ARM VMP的加固流程

11.4本章小結

第12章iOS逆向工具的使用

12.1砸殼工具

12.1.1Clutch

12.1.2CrackerXI

12.2Classdump工具

12.3Tweaks工具

12.3.1Theos的前置環境

12.3.2安裝Theos

12.3.3編寫Tweaks程式

12.3.4Tweaks程式的編譯與安裝

12.4Cycript工具

12.4.1Cycript的安裝使用

12.4.2使用Cycript分析套用

12.4.3Cycript腳本

12.5本章小結

第13章進階逆向技巧

13.1使用Frida繞過SSLPinning

13.1.1HTTPS協定簡介

13.1.2SSLPinning技術

13.1.3繞過證書綁定

13.1.4使用SSLContext導入自定義證書

13.2終極抓包腳本

13.2.1抓包的攻防

13.2.2r0capture抓包原理

13.2.3r0capture抓包實踐

13.3Frida追蹤函式調用

13.3.1Frida Trace腳本解析

13.3.2Frida Trace腳本使用

13.4本章小結

案例篇

第14章Android惡意軟體分析

14.1遠程操控手機App分析

14.1.1配置MSF框架

14.1.2生成Android payload

14.1.3逆向分析木馬

14.2分析鎖機勒索軟體樣本

14.2.1勒索軟體的初步分析

14.2.2分析危險行為

14.2.3分析軟體釋放出來的套用

14.2.4鎖機軟體的解除

14.3可自我擴散的手機簡訊蠕蟲分析

14.3.1蠕蟲病毒分析

14.3.2分析木馬的本體

14.3.3分析結果

14.4本章小結

第15章APT攻擊案例分析

15.1APT簡介

15.2KONNI遠控木馬病毒

15.2.1KONNI惡意行為分析

15.2.2KONNI源碼逆向分析

15.2.3遠程控制機制解析

15.3GravityRAT間諜軟體

15.3.1GravityRAT惡意行為分析

15.3.2GravityRAT源碼逆向分析

15.4Anubis木馬

15.4.1Anubis木馬的功能與發展

15.4.2Anubis樣本行為逆向分析

15.5本章小結

參考文獻